Grüßt euch

ich hab ein Problem

Vorhanden:
Win XP SP 2 Rechner
Trend Micro Office Scan
aktuelle Pattern und Updates

Problem:
Der Rechner war stark mit Ad- und Spyware infiziert. Diese wurden alle entweder mit Ad Aware, Hijack oder Spybot SD entfernt. Ich habe den Rechner danach wieder aufgestellt und an das Netz angeschlossen. Keine 4 Stunden später hat mir der OfficeScan wieder Meldungen über neue Viren und Trojaner gebracht. Diese auch wieder entfernt und das System läuft wieder stabil und ohne Probleme. Nachdem der Rechner aber wieder am Netz war, sind wieder die ersten Viren gemeldet worden.

Ich bin am verzweifeln. Ich habe den Rechner mit TrendMicro Systemcleaner, Ad Aware, Spybot, Hijackthis und TrendMicro Rootkit Buster gescnant. Alle Scanner haben keinerlei Viren, AD - und Spyware, Rootkits oder Trojaner gefunden. Jedoch bekomme ich immer wieder Viren wenn der Rechner am Netz hängt.

Ich denke im Hintergrund läuft irgendein Programm das ein Hintertürchen für schädliche Software offen hält. Ich komm aber nicht drauf was das sein könnte.

Eine Neuinstallation will ich wenn möglich vermeiden da auf diesem Rechner ein Warenwirschafts Programm läuft das ich nur sehr ungerne neu installieren möchte.

Ich danke jetzt schon mal für ihre Antwort.

Ehem

Ohne Hijackthis-Logfile (siehe FAQ) lässt sich nur spekulieren. Möglicherweise (!) findest du die Lösung hier bzw. hier.

Hier das fehlened logfile.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 13:38:44, on 12.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Programme\Trend Micro\OfficeScan Client\ofcdog.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\inst\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.kreuzer-dachbau.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\OfficeScan Client\pccntmon.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ADKD.LAN
O17 - HKLM\Software\..\Telephony: DomainName = ADKD.LAN
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ADKD.LAN
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ADKD.LAN
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: OfficeScanNT Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: OfficeScanNT Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\OfficeScan Client\tmlisten.exe

Nun, ein Anzeichen für ein Backdoorprogramm kann ich nicht erkennen (was selbstverständlich nicht bedeutet, dass keines da ist). Der Rechner steht hinter einem Router? Mit NAT? Die Windows-Firewall ist aktiviert? Was geht denn dem immer neuen Befall voraus? Werden Seiten angesurft, von denen man sich besser fernhält? Welche Internet-Software wird verwendet (ich sehe nur den Internet-Explorer)?

Also Windows Firewall ist zwar aktiv wird aber nicht benörigt da vor Ort eine Hardware Firewall installiert ist (Astaro). Viren treten auch auf wenn überhaupt nich gesurft wird, sprich wenn der Rechner nur am Internet hängt.
Benutzt wird der Internet Explorer 7. Das ist die Situation Vor Ort.

Hier bei mir ist der Rechner in einer DMZ und hnter zwei Astaro Firewalls mit zusätzliche Windows Firewall.

Die letzte Seite die mit dem Rechner angesurft wurde war die weltbild.de

An diesem Rechner beis ich mir langsam aber sicher die Zähne aus.

Hallo,

scan dein System einmal mit folgendem tool und poste das Ergebins:
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip

und/oder mit Blacklight
http://www.f-secure.com/blacklight/try_blacklight.html


und poste das Ergebis (log-File)


Gruß
Oskar

Zitat:

Zitat von Ehem

Viren treten auch auf wenn überhaupt nich gesurft wird, sprich wenn der Rechner nur am Internet hängt.

Wenn das wirklich genau so ist, fällt mir meine erste Idee wieder ein. Aber dazu vielleicht später.
Da "Astaro" mir nichts sagt, noch mal die Frage: Mit NAT oder ohne?
Hältst du eine der folgenden Optionen für realistisch:
1. Eine dritte Person hat Zugriff auf den Rechner und tut Dinge, die sie nicht sollte
2. Es wurde/wird Shareware installiert, die Spy- bzw. Adware mitbringt
3. Infektion über Datenträger (Diskette/CD/DVD...)?

Zu der HW-Firewall Konstellation:

Dein Aufbau kapiere ich nicht so ganz.
Bietest du nach extern Dienste an (hast also Ports offen)?
Wenn nein, benötigst du auch keine DMZ, oder hat das sonst noch einen Grund?
Wenn ja, dann heißt doch das, daß der gennante PC die Dienste anbietet, ansonsten gehört der PC hinter dem zweiten Router und nicht in die DMZ.

Wenn du aber schon einen Router/Firewall hast, würde ich dort mal loggen was connectet wird.

Gruß Oskar

Zu der HW Config bei mir.

Der Rechner steht in der DMZ da ich des öfterne Rechner habe die mit Viren verseucht sind. Diese stehen in der DMZ um nihct aufs interne Betriebsnetz Zugang zu erhalten.

@Franz1968: Ich glaube es ist ein Software die im Hintergrund läuft und so ein Türchen für andere Schädlinge offen hält.
Astaro unterstüzt NAT und ist demnach auch vorhanden.


Hier meine logs

McAfee

Zitat:

McAfee(R) Rootkit Detective 1.0 Beta scan report
On 12-03-2007 at 15:32:18
OS-Version 5.1.2600
Service Pack 2.0
====================================

Object-Type: Registry-key
Object-Name: DataAfee(R) Rootkit Detective 1.0 Beta scan report

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data
Status: Hidden

Object-Type: Registry-key
Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden

Object-Type: Registry-key
Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden

Object-Type: Registry-key
Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden

Object-Type: Registry-value
Object-Name: Item Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden

Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden

Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden

Object-Type: Registry-key
Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Status: Hidden

Object-Type: Registry-key
Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden

Object-Type: Registry-value
Object-Name: Value
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden

Object-Type: File/Folder
Object-Name: System Idle Process
Pid: n/a
Object-Path: System Idle Process
Status: Visible

Object-Type: Process
Object-Name: services.exe
Pid: 512
Object-Path: C:\WINDOWS\system32\services.exe
Status: Visible

Object-Type: Process
Object-Name: System
Pid: 4
Object-Path:
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 788
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: savedump.exe
Pid: 540
Object-Path: C:\WINDOWS\system32\savedump.exe
Status: Visible

Object-Type: Process
Object-Name: lsass.exe
Pid: 548
Object-Path: C:\WINDOWS\system32\lsass.exe
Status: Visible

Object-Type: Process
Object-Name: wuauclt.exe
Pid: 1840
Object-Path: C:\WINDOWS\system32\wuauclt.exe
Status: Visible

Object-Type: Process
Object-Name: Rootkit_Detecti
Pid: 2352
Object-Path: C:\Dokumente und Einstellungen\MM\Desktop\Antivir\Rootkit_Detective.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 828
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 868
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: TmListen.exe
Pid: 1380
Object-Path: C:\Programme\Trend Micro\OfficeScan Client\TmListen.exe
Status: Visible

Object-Type: Process
Object-Name: PccNTMon.exe
Pid: 2164
Object-Path: C:\Programme\Trend Micro\OfficeScan Client\PccNTMon.exe
Status: Visible

Object-Type: Process
Object-Name: sstext3d.scr
Pid: 2428
Object-Path: C:\WINDOWS\System32\sstext3d.scr
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 896
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: smss.exe
Pid: 396
Object-Path: C:\WINDOWS\system32\smss.exe
Status: Visible

Object-Type: Process
Object-Name: OfcDog.exe
Pid: 1936
Object-Path: C:\Programme\Trend Micro\OfficeScan Client\OfcDog.exe
Status: Visible

Object-Type: Process
Object-Name: explorer.exe
Pid: 924
Object-Path: C:\WINDOWS\explorer.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 1196
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: ctfmon.exe
Pid: 2220
Object-Path: C:\WINDOWS\system32\ctfmon.exe
Status: Visible

Object-Type: Process
Object-Name: csrss.exe
Pid: 444
Object-Path: C:\WINDOWS\system32\csrss.exe
Status: Visible

Object-Type: Process
Object-Name: MDM.EXE
Pid: 1216
Object-Path: C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
Status: Visible

Object-Type: Process
Object-Name: wmpnetwk.exe
Pid: 1472
Object-Path: C:\Programme\Windows Media Player\wmpnetwk.exe
Status: Visible

Object-Type: Process
Object-Name: svchost.exe
Pid: 712
Object-Path: C:\WINDOWS\system32\svchost.exe
Status: Visible

Object-Type: Process
Object-Name: winlogon.exe
Pid: 468
Object-Path: C:\WINDOWS\system32\winlogon.exe
Status: Visible

Object-Type: Process
Object-Name: NTRtScan.exe
Pid: 1240
Object-Path: C:\Programme\Trend Micro\OfficeScan Client\NTRtScan.exe
Status: Visible

Object-Type: Process
Object-Name: alg.exe
Pid: 2028
Object-Path: C:\WINDOWS\system32\alg.exe
Status: Visible

Object-Type: Process
Object-Name: spoolsv.exe
Pid: 1008
Object-Path: C:\WINDOWS\system32\spoolsv.exe
Status: Visible

F-Secure

Zitat:

03/12/07 15:48:28 [Info]: BlackLight Engine 1.0.55 initialized
03/12/07 15:48:28 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/12/07 15:48:28 [Note]: 7019 4
03/12/07 15:48:28 [Note]: 7005 0
03/12/07 15:48:29 [Note]: 7006 0
03/12/07 15:48:29 [Note]: 7011 1464
03/12/07 15:48:29 [Note]: 7026 0
03/12/07 15:48:30 [Note]: 7026 0
03/12/07 15:49:07 [Note]: FSRAW library version 1.7.1021
03/12/07 15:55:02 [Note]: 2000 1012
03/12/07 15:55:02 [Note]: 2000 1012
03/12/07 15:55:02 [Note]: 7007 0

Hallo,

also ein Rootkit scheint keines auf dem System zu sein.

Wenn aber die Viren bereits auftauchen, wenn der PC nur ans Netzwerk angeschlossen wird, würde ich einmal folgendes tun:

1. Dieses tool herunterladen: http://download.sysinternals.com/Files/TcpView.zip

2. PC vom Netzwerk trennen

3. PC neu starten

4. tcpview starten

5. PC ans Netzwerk anschließen

Nun kannst du im tcpview sehen ob bzw. welche Verbindungen aufgebaut werden, und vorallem von welchem Programm/Prozess aus


Gruß
Oskar

Nochwas:

Schon die hosts-Datei geprüft?, ist im Ordner C:\WINNT\system32\drivers\etc
und es sollte normalerweise nur der Eintrag "127.0.0.1 localhost" aktiv sein.

Sind eigentlich feste IPs vergeben oder per DHCP?
Mach mal ein ipconfig -all

Übrigens geht das mit der DMZ i.O. in dem Fall.
An der Astaro müßte doch aber auch log/trace möglich sein, oder!?

Gruß
Oskar

Also im TCPView konnt ich nichts entdecken da ich bis jetzt keine Viren mehr hatte.

Ich habe eine Sicherung des Systems durchgeführt und mit dem MCAffee einfach mal alle gefundenen Einträge gelöscht. Seitdem läuft das System stabil und es treten auch keine Viren mehr auf.

Ich werde das System noch etwas laufen lassen.

Erstmal Danke für eure Hilfe :D